Malware in Phishing E-Mails ruft bei vielen Unternehmen und Privatpersonen Sorge hervor. Kein Wunder, denn im Always-On-Zeitalter kommt es schnell vor, versehentlich Malware aus E-Mails herunterzuladen. Eine beliebte Strategie von Cyberkriminellen hierfür sind skrupellose Phishing-Methoden in Mails, die oftmals so geschickt verpackt sind, dass ein Empfänger denken könnte, er hätte eine wichtige vertrauensvolle E-Mail erhalten. Doch wie enttarnt man Phishing Mails als solche? Mit präventiven Vorkehrungen lassen sich Risiken und Folgen einer Infizierung mit Malware durch Phishing E-Mails erheblich minimieren. Was sich hinter dem Schadprogramm Malware verbirgt und wie Sie schon mit den kleinsten Maßnahmen Ihre IT vor Phishing-Angriffen schützen können, haben wir im aktuellen Blogbeitrag ergründet.
Die häufigsten Malware-Infektionen treten auf, wenn Nutzer versehentlich eine Aktion in Phishing Mails ausführen, durch die ein Malware Virus heruntergeladen wird. Derartige Aktionen sind beispielsweise das Öffnen von E-Mail-Anhängen und Aufrufen präparierter Website-Links in Phishing E-Mails. Die Aktionen in Phishing E-Mails können mit gefährlicher Malware wie Trojanern, Bots oder Ransomware ausgestattet sein, sodass schon durch ein Klick eigenhändig ein Schadprogramm installiert werden kann. Um vielmehr das Bewusstsein für solche Gefahren zu installieren, ist es wichtig zu wissen, was sich genau hinter den Links und Anhängen verstecken könnte. Also schauen wir uns zunächst ein paar Malware-Beispiele an.
Was sind Trojaner?
Vom trojanischen Pferd haben Sie sicher schon etwas gehört. Der Kampf um Troja schien für die Griechen erfolglos, bis der griechische König Odysseus auf die listige Idee vom hölzernen Pferd kam. Ein Geschenk für die Trojaner als Anerkennung des gewonnenen Kampfes, doch im Inneren des hölzernen Pferdes versteckten sich griechische Soldaten. Und schon zogen sich die Einwohner Trojas mit diesem Geschenk eigenhändig den Feind in ihre Stadt. Eine ähnliche Methode die heute Cyberkriminelle anwenden, um einen Trojaner auf ein fremdes System zu installieren. Hacker tarnen ihre Schadsoftware als etwas Nützliches und warten nur darauf bis diese von Unwissenden höchstpersönlich installiert wird.
Als aktuelles Beispiel ist hier „Emotet“ zu nennen - ein Schadprogramm, das in letzter Zeit weltweit zu hohen Schäden in Unternehmen und Privathaushalten geführt hat. Dabei sind Angreifer wie folgt vorgegangen: Betroffene erhielten authentisch aussehende E-Mails mit erfundenen Inhalten von Absendern, mit denen sie erst kürzlich Mail-Kontakt hatten. Da Name, Anrede, Signatur und Mailadresse des Absenders im Betreff, korrekt angegeben wurden, schienen diese Phishing E-Mails vertrauenswürdig. Durchaus nachvollziehbar, dass derartige Nachrichten zum zweifellosen Öffnen schädlicher Anhänge oder Links verlocken. Ist das Gerät dann einmal infiziert, lädt Emotet weiter Schadsoftware nach, die zu Datenabfluss führen und irgendwann die komplette Kontrolle über das System übernehmen kann.
Was sind Botnetze?
Botnetze sind Computer, die mit einem Schadprogramm (Bots) infiziert und anschließend zu einem Netzwerk zusammengeschlossen wurden. Ein Computer wird dann von Kriminellen über Bots ferngesteuert und zu bestimmten Aktionen missbraucht. Zum Beispiel um automatisiert Spam zu versenden, oder gar DDoS-Angriffe durchzuführen. Ziel dieser Malware-Angriffe ist es, große Internetseiten außer Betrieb zu setzen, indem ein Server mit so vielen Aufgaben bombardiert wird, dass das System diese nicht mehr bewältigen kann und am Ende zusammenbricht. Einfangen kann man sich dieses Schadprogramm wieder durch ausgeklügelte Phishing E-Mails mit schädlichen Anhängen und Webseiten oder aber auch durch Schwachstellen und Bugs in bereits installierten Programmen, Betriebssystemen oder Fehlimplementierungen von Protokollen. Hacker nutzen dann diese Schwachstellen, gezielt aus, um ihre Bots zu platzieren. Andererseits könnten Botnetze auch dazu beitragen, nicht mehr nur Opfer, sondern selbst auch Täter einer Attacke zu sein, indem Ihr System Befehle ohne Ihre Kontrolle ausführt. Das Gefährliche daran - all das passiert meist im Hintergrund, ohne davon überhaupt zu wissen.
Was ist Ransomware?
Die wohl direkteste Form von Malware Software, die sich hinter Phishing E-Mails verbergen kann, ist Ransomware. Diese Schadsoftware wird auch taktvoll Erpressungstrojaner genannt und das nicht ohne Grund: Ist Ransomware einmal installiert, versperrt sie den Zugriff auf das infizierte Gerät sofort. Anderenfalls verschlüsselt sie wichtige Dateien oder Laufwerke. Heimtückisch wie sie ist, fordert sie direkt ein Lösegeld, ehe man wieder vollen Zugriff auf die betroffenen Geräte und Daten bekommt. Und selbst die Zahlung eines Lösegelds ist nicht unbedingt Garant für die Freischaltung der gesperrten Geräte und Daten. Besonders bösartige Ransomware-Versionen sind sogar mit einem Timer ausgestattet.
Wie bereits angedeutet, setzen Hacker gern verschiedene Methoden in Form von Phishing Mails oder Websites ein, um die eben aufgezählten Malware-Angriffe zu starten. Damit es gar nicht erst zu einem Malware-Angriff kommt, zeigen wir nun, woran Sie Phishing Mails erkennen und woran Sie feststellen können, dass ein Angreifer in Ihrem E-Mail-Postfach seine Angel ausgeworfen hat.
Vor einiger Zeit ließ sich der dubiose Charakter einer Phishing E-Mail meist anhand schlechten Schreibstils, Grammatikfehlern, keiner korrekten Ansprache oder komischer Absenderdetails erkennen. Doch heute nutzen viele Angreifer heimtückische Methoden und skrupellose Vortäuschungen mit dem Ziel eine Nutzeraktion anzustoßen, um ihre Schadsoftware direkt auf fremden Geräten auszubreiten. Bekannte Inkassobüros fordern zum Öffnen von Rechnungen auf, obwohl einem selbst kein Inkassofall bekannt ist und die private Bank droht mit Kontosperrung, wenn die Eingabe von Zugangsdaten nicht erfolgt. Da bekommt man schon ein mulmiges Gefühl und kommt ins Grübeln. Doch dahinter stecken oftmals arglistige Phishing-Kampagnen, die dem E-Mail Design/Aufbau eines bekannten Unternehmens verdammt ähnlich sehen. Als Absender werden hierfür häufig große Unternehmen und Internet-Plattformen wie beispielsweise Paypal, Amazon oder Banken angegeben, die dem Nutzer eine gewisse Vertrauenswürdigkeit vortäuschen sollen. Viele solcher Phishing E-Mails sind längst im Umlauf und für drohende Handlungsaufforderungen im Inhalt bekannt. In den meisten Fällen können E-Mail Dienste diese Art von Phishing E-Mails filtern, sodass derartige E-Mails dort landen, wo sie hingehören - direkt im Spam- oder Junk-Mail-Ordner. Sollte dies jedoch nicht so sein, kommt hier ein wichtiger Hinweis:
Insbesondere Banken, Online-Shops, Kleinanzeigen-Plattformen, oder Provider würden Kundendaten immer DSGVO-konform und niemals per E-Mail abfragen. Lassen Sie sich von angedrohten Konsequenzen in E-Mails wie z. B. einer Kontosperrung niemals verlocken, eine beigefügte Datei oder einen Link zu öffnen, geschweige denn persönliche Daten herauszugeben. Das wird üblicherweise nur als Angelköder genutzt. Also bitte nicht anbeißen. ;)
Bei Spear-Phishing verläuft das ganze noch ein bisschen gemeingefährlicher ab. Der Absender der Phishing E-Mail tarnt sich als vertrauensvolle Person des Empfängers und gibt sich dann als Kollege oder Freund etc. aus. Diese Art von personalisierten Phishing-Angriffen scheinen auf den ersten Blick so glaubhaft zu sein, dass einem kaum Raum zum Zweifel bleibt.
Eine weitere üble Phishing Art ist das Whaling. Hier wird die Jagd auf einen großen Fisch anvisiert, insbesondere auf Geschäftsführer oder Manager. Wie beim Spear-Phishing sollen auch beim Whaling Zielpersonen (Empfänger) dazu verleitet werden, eine bestimmte Aktion auszuüben, wie zum Beispiel das Herausgeben vertraulicher Daten oder das Vollziehen einer Überweisung. Der einzige Unterschied hierbei ist, dass sich immer als hochrangige Person im Unternehmen ausgegeben wird, die meist eine hohe Anerkennung genießt (CEO-Fraud). Für noch mehr Glaubhaftigkeit entnimmt der Angreifer persönliche Informationen aus den Social Media Kanälen der Zielperson, um maßgeschneiderte Inhalte zu generieren und die Vertrauenswürdigkeit noch mehr zu stärken. Raffinierte Methode, denn wer lehnt schon gern Anfragen von einflussreichen Mitarbeitern oder Vorgesetzten ab, wenn deren Inhalt sogar genau passend für einen ist?
Merkmale, um Phishing E-Mails zu erkennen:
Oft erweist es sich als schwierig, der angeforderten Aktion in einer Phishing-Mail nicht zu folgen, da Angreifer bei ihren durchdachten Attacken gern mit den Schwächen von Menschen spielen wie z. B. Angst und Neugierde. Wichtig ist es deshalb immer einen kühlen Kopf zu bewahren, nicht in Panik zu verfallen und lieber einmal mehr zu überlegen, ob man einer Handlungsaufforderung eines Unbekannten wirklich folgen sollte. Denn wie schon angedeutet, würden Banken, Internet-Dienstleister oder Social-Media-Plattformen schon aus datenschutzrechtlichen Gründen vertrauliche Daten niemals per E-Mail abfragen. Selbes gilt bei Kollegen oder Freunden. Zum Schutz gegen Phishing gehört also immer ein gesundes Maß an Skepsis. Denn wer prinzipiell skeptisch ist, der öffnet auch keine Links oder Anhänge, die er nicht unbedingt erwartet.
Phishing funktioniert nur, wenn ein Angreifer genügend relevante Informationen über die Zielperson findet. Beliebte Anlaufstellen hierfür sind die Social-Media-Kanäle der jeweiligen Zielperson (Empfänger). Wer viel von sich auf seinen Social-Media-Profilen Preis gibt, der serviert seine persönlichen Informationen dem Angreifer auf einem Silbertablett. Für die persönliche Sicherheit ist es besonders wichtig, sensible Informationen über sich mit Bedacht zu veröffentlichen. Denn je mehr Informationen ein Angreifer hat, desto vertrauenswürdiger kann er eine Phishing E-Mail gestalten. Es ist also förderlich sehr zurückhaltend mit der Veröffentlichung persönlicher Daten in den sozialen Medien umzugehen.
Wer in einer E-Mail von einer angeblich vertrauenswürdigen Person aufgefordert wird, einen Link oder Anhang zu öffnen, den man nicht erwartet, der sollte grundsätzlich immer erst einmal skeptisch sein. In manchen Fällen werden die E-Mail-Adressen verschleiert und zunächst scheint es eine Adresse des Kollegen oder Freundes zu sein. Schaut man sich den E-Mail Header (1) dann genau an, erkennt man die eigentliche Adresse, die alles andere als vertrauenswürdig ist. Außerdem müsste im E-Mail Header auch immer die fälschungssichere IP-Adresse des Absenders stehen. Kennen Sie den Absender persönlich, so fragen Sie im Zweifel immer noch einmal nach, ob diese E-Mail tatsächlich von ihm stammt.
Gleiches kann bei Links und URLs in E-Mails nachvollzogen werden. Durch URL-Spoofing können Domains von Angreifern wie eine rechtmäßige Adresse aussehen. Ohne direkt auf einen verschleierten Link oder Button klicken zu müssen, lässt sich der eigentliche Link überprüfen, in dem man mit dem Cursor leicht drüberährt. In den meisten Fällen sind eine unsichere Verschlüsselung (http), ein Schreibfehler in der Second-Level-Domain (2) oder eine unpassende Länderkennung in der Top-Level-Domain (3) ein Signal dafür, dass man den Link in keinem Fall öffnen sollte.
So schützen Sie sich durch einfache Maßnahmen vor Phishing-Angriffen:
Es gehört zum Arbeitsalltag, dass man E-Mail-Anhänge öffnet und im Internet nach Informationen sucht. Natürlich ist dann die Gefahr größer, einen Phishing E-Mail-Link oder -Anhang zu öffnen, der täuschend echt erscheint. Ein Basis-Schutz, vor allem auf technisch strategischer Ebene, sollte dann unbedingt gegeben sein, um Angreifern kein Durchdringen in Hard- oder Software zu ermöglichen. Zunächst möchten wir einen Überblick über mögliche IT-Sicherheitsvorkehrungen verschaffen.
Besonders wenn man sich vor Ransomware schützen möchte, ist es wichtig Sicherheitskopien anzulegen. Sollte es tatsächlich einmal einem Angreifer gelingen, unbefugt Zugriff auf ein Gerät zu bekommen, könnte das Gerät im besten Fall mittels eines aktuellen Backups formatiert und mit einer sauberen Version neu geladen werden. Es ist also besonders vorteilhaft einen Backup- und Recovery-Plan zu erstellen, damit Ihre Systeme regelmäßig gesichert werden. Um regelmäßig Backups durchführen zu können, bieten verschiedene Cloud Storage Lösungen wie z. B. die KeyDisc Pro eine sichere Grundlage. Vertrauliche Daten werden dank des Cloud-Backup-Speichers zentral unter strengsten Sicherheits- und Datenschutzbedingungen in optimalen Serverumgebungen gespeichert und können jederzeit abgerufen werden
Nicht nur aktuelle Backups können die negativen Auswirkungen durch Schadsoftware verhindern, sondern auch regelmäßige Aktualisierungen und Sicherheitsupdates von allgemeiner Software, Betriebssystemen, Anwendungsprogrammen, Malware-Schutz-Tools sowie Firewalls für Geräte und Netzwerke. Angreifer bekommen hierdurch keine Chance über mögliche Sicherheitslücken durch veraltete Systeme unbefugten Zugriff zu erhalten. Deshalb sollte das Up-To-Date-halten von Systemen zur festen Grundlage der IT-Sicherheitsvorkehrungen gehören.
Eine weitere gute Methode für die Verhinderung eines möglichen Malware-Angriffes ist eine Netzwerksegmentierung. Hierbei wird das Netzwerk in verschiedene Sicherheitszonen unterteilt, sodass Angriffe ausgebremst und deren Ausbreitung auf andere Netzwerkbereiche verhindert werden.
Auch wenn man es ungern hört, sind Mitarbeiter dennoch oft das schwächste Glied in der Sicherheitskette. Gut ist es dann, Mitarbeiter regelmäßig zu sensibilisieren, bewusst und sorgsam mit unbekannten Dateien oder Links um- zugehen, sichere Passwörter zu verwenden und regelmäßig zu erneuern sowie auch selbst bestimmte Software-Updates vorzunehmen. Um hierbei auf Nummer sicher zu gehen, lohnt es sich, die Zugriffsrechte von PC-Benutzern einzuteilen und streng zu reglementieren. Nutzen Mitarbeiter private Geräte im Firmennetzwerk, gilt ebenfalls das bereits Erwähnte in Bezug auf Aktualisierung von Software, Anti-Viren-Scanner und den vorsichtigen Umgang mit unbekannten Anhängen und Links.
Wer sich noch mehr Sicherheit verschaffen möchte, kann auf einen Penetrations-Test (Pentest) zurückgreifen. Dieser ist eine Art IT-Sicherheitsscan. Er überprüft ein System aus Sicht eines Cyberkriminellen auf Schwachstellen und zeigt, inwiefern bisherige Sicherheitsmaßnahmen in der Lage sind potenzielle Phishing-Angriffe abzuwehren. Hierbei werden offene Ports, unsichere Software-Versionen und andere Sicherheitslücken aufgedeckt und von IT-Experten Strategien entwickelt, diese zu beheben. Mehr Informationen über den Ablauf und Folgemaßnahmen des IT-Sicherheitsscans können Sie hier nachlesen: https://www.keyweb.de/de/hosting/pentest
Wie verhalte ich mich, wenn ich …
• eine Phishing E-Mail erhalten habe?
Wenn Sie Phishing E-Mails als solche feststellen, ist das schon einmal eine wertvolle Erkenntnis. Verschieben Sie diese in den Spam-Ordner oder löschen Sie diese einfach sofort. Um andere zu schützen, informieren Sie das betroffene Unternehmen und warnen Sie Ihre Kollegen und Freunde. Außerdem können Sie sich belesen, ob es Plattformen wie Verbraucherzentrale.de gibt, auf denen Sie Phishing-Mails melden können, um den Angreifern gar keine weiteren Angriffsflächen zu bieten.
• aus Versehen einen präparierten Link geöffnet habe?
Phishing-Angriffe sind sehr überzeugend geworden, sodass es gut sein kann, dass es doch einmal passiert, das Sie einen präparierten Link oder Anhang öffnen. Auch merkt man bei einigen Phishing Methoden nicht sofort, dass soeben ein Schadprogramm installiert wurde. Vorteilhaft wäre es dann, einen umfassenden Basis-Schutz in der IT vorzuweisen. Im besten Fall besteht ein aktuelles Backup, sodass das Gerät formatiert und mit einer sauberen Version neu geladen werden kann oder eine Netzwerksegmentierung. Sollten Sie bemerkt haben, dass ihr Gerät mit einem Schadprogramm infiziert wurde, informieren Sie Alle, mit denen Sie in Kontakt standen darüber, damit sich dieses Schadprogramm nicht unaufhaltsam verbreitet. Holen Sie sich dann in jedem Fall den Rat und die Unterstützung eines IT-Experten, der für solche Fälle spezialisiert ist. Sollten Sie von Ransomware betroffen sein, ist es wichtig zu wissen, dass das Bezahlen eines Lösegelds keine Garantie für die Freigabe Ihrer Daten darstellt.
Fazit:
Wie in vielerlei Hinsicht gilt auch beim Schutz vor Phishing immer: Vorsorge ist besser als Nachsorge. Beschäftigen Sie sich bestenfalls so früh wie nur möglich mit den auf Ihre IT-Sicherheit abgestimmten Präventionsmaßnahmen, um später unnötigen Ärger zu ersparen. Wichtig hierbei ist, im Hinterkopf zu bewahren, dass Sicherheit ein fortlaufender Prozess ist und nie still stehen sollte. Umso mehr relevante Sicherheitsmaßnahmen in alltägliche Prozesse verankert werden, desto effizienter ist der Schutz vor potenziellen Phishing-Angriffen. Die Kombination aus gesundem Misstrauen und den aufgezeigten grundlegenden Sicherheitsmaßnahmen soll als Orientierung zur Entwicklung eines individuellen Ansatzes dienen, um Cyberkriminellen durch Phishing keine Angriffsfläche mehr zu bieten.
(1) Der E-Mail Header lässt sich in den meisten Programmen über Ansicht oder Optionen vollständig anzeigen. Hierbei kann die E-Mail-Adresse des Absenders, die IP-Adresse des Absenders, die Empfänger der E-Mail, das Datum des Versands und der Betreff der E-Mail herausgelesen werden.
(2) Die Second-Level-Domain ist der mittlere Abschnitt einer Domain und beinhaltet den Domain-Name z.B. www.Keyweb.de. Keyweb ist in diesem Fall, die Second-Level-Domain.
(3) Die Top Level-Domain ist der letzte Abschnitt einer Domain, z.B. .de, .com, .net.
Quellen:
https://www.wud.de/it-security...
https://www.bsi-fuer-buerger.d...
https://www.computerwoche.de/a...
https://www.verbraucherzentral...
